670: 不明なデバイスさん (ワッチョイ 9deb-OfpS) 2023/06/27(火) 20:13:55.46 ID:WU113qb60
このたび、USBポートを搭載したAtermシリーズ(生産終了製品)にて「ディレクトリ・トラバーサル」とそれに付随して「格納型クロスサイトスクリプティング」および「OSコマンドインジェクション」の脆弱性が発見されました(※)。
「ディレクトリ・トラバーサル」は、下記表内の製品をルータモードまたはブリッジモード(機種によっては無線LANアクセスポイントモード)で使用しており、USBポートにUSBストレージ(外付けのハードディスクやUSBメモリなど)を取り付けている場合に該当します。
本脆弱性によって、管理者パスワードや無線の暗号化キーの漏洩が懸念されます。
根本的な対策は、当該製品のUSBポートからUSBストレージを取り外すことです。詳細は下記をご確認ください。
付随して発生する「格納型クロスサイトスクリプティング」や「OSコマンドインジェクション」については、下記「対策」の2.①にも記載しておりますように「管理者パスワード」を推測されにくい複雑なものに変更することがリスク軽減策となります。
下記機種についてはサポートが終了しており、ファームウェアの更新は行われません。機器の切り替えをご検討いただきますようお願いいたします。
※ 通常は悪意のある第三者がLAN側から攻撃しない限り発生しません。なお、WAN側からのアクセスを許可している場合はリスクが高まります。
対象機種(生産終了製品)はリンク先で
https://www.aterm.jp/support/tech/2023/0627.html
対策
当該製品のUSBポートからUSBストレージを取り外してください。
草